SELKS 1.0 : une distribution

35
16
oct.
2014
Sécurité

SELKS est une distribution liv_e et installable qui fournit un système de détection d’intrusion (_Intrusion Detection System, abrévié IDS) Suricata prêt à l’emploi. Elle intègre Scirius, une interface Web de gestion des règles de l’IDS, et le trio Elasticsearch, Logstash et Kibana (ou "ELK"). L’interface Kibana permet d’analyser les alertes et les événements remontés par l’IDS.

Capture d'écran de SELKS

Le projet SELKS a été initié pour fournir un moyen de tester rapidement les capacités de l’IDS Suricata dans le domaine de la détection d’intrusion réseau et dans le domaine de la surveillance réseau. En mode live, il est ainsi possible de passer de l’amorçage du système à l’analyse du trafic réseau dans Kibana en 30 secondes.

Le nom SELKS vient de celui des composants majeurs de la distribution :

  • Suricata : sonde de détection d’intrusions et d’analyse réseau ;
  • Elasticsearch : moteur de recherche utilisé pour le stockage des événements ;
  • Logstash : logiciel injectant des fichiers de journaux dans Elasticsearch ;
  • Kibana : interface Web pour la création de tableaux de bord utilisant les données stockées dans Elasticsearch ;
  • Scirius : interface Web de gestion des signatures pour Suricata.

Suricata est une sonde de détection d’intrusion réseau développée par la fondation OISF (Open Information Security Foundation) et disponible sous licence GPLv2. Elle offre des capacités intéressantes tant au niveau de la détection d’intrusions par signatures qu’au niveau de l’analyse protocolaire, grâce à la journalisation des requêtes pour les protocoles HTTP, DNS, SSH et TLS. Suricata est donc un logiciel offrant des fonctionnalités de type IDS et de type network security monitoring (NSM). SELKS intègre la version 2.1 bêta 1 de Suricata qui présente des avancées significatives au niveau de la partie NSM comparée à la version stable 2.0.

Le trio Elasticsearch, Logstash et Kibana est une solution complète d’analyse et de stockage des journaux. L’ensemble de ces outils est développé par la société Elasticsearch.

Scirius est une interface Web de gestion de signatures Suricata développée par Stamus Networks et disponible sous licence GPLv3. Elle est codée en Django et permet la gestion et la mise à jour régulière des règles.

La distribution SELKS est basée sur Debian live. Les sources pour la construction de l’image ISO sont disponibles sous licence GPLv3 sur la page GitHub du projet.

  • # Quel timing

    Posté par (page perso) . Évalué à 4.

    Cela fait plusieurs semaines que j'ai en tête de jouer avec ELK, et tes derniers tweets à propos de Suricata m'ont fait ajouter un item à ma todo list. Ravi d'avoir une image qui regroupe l'ensemble, avec Scirius en bonus. Merci. :)

    Debian Consultant @ DEBAMAX

  • # 32 bits ?

    Posté par (page perso) . Évalué à 2.

    Ouin, il n'y a que des versions 64 bits !

    • [^] # Re: 32 bits ?

      Posté par (page perso) . Évalué à 10.

      Oui, désolé, compte tenu notamment de l'utilisation mémoire (il faut au moins 2 Go), on a décidé de se limiter à la version 64 bits.

    • [^] # Re: 32 bits ?

      Posté par . Évalué à 1.

      Ce n'est pas SELK mais ELKS qu'il te faut !

  • # Jeu de mots

    Posté par (page perso) . Évalué à 10.

    Connaissant l'auteur de la dépêche, je suis surpris du manque de jeu de mot dans le titre.

    Alors qu'un petit titre comme "Let's talk about selks" aurait était parfait.

    Ou pour parler de l'usage de gcc pour compiler un module sur une base sparc, un petit "C, Selks and Sun" aurait été aussi de bon gout.

    Et bon, pour parler des outils qui s'intégre avec le projet, "I am Selksy and I know it".

    • [^] # Re: Jeu de mots

      Posté par (page perso) . Évalué à 6.

      "Let's talk about SELKS" était déjà le titre du post d'annonce sur le blog je ne voulais pas forcer le trait ;) Et puis j'étais frustré d'avoir retiré la photo de New York qui était en fond d'écran pour la RC1 alors que j'avais prévu de faire "SELKS in the city"…

      • [^] # Re: Jeu de mots

        Posté par (page perso) . Évalué à 3. Dernière modification le 17/10/14 à 01:09.

        Pour la City tu peux encore insérer une image de Londres.

        Nessus est pas un logiciel très communautaire alors qu'il y a une foule de gens de partout qui (s')investissent dans selks.
        J'ai Nessus ; pas Selks, vous crowdez¹ ? (avec mes excuses, il est tard).

        ¹ crowder : admettons que ça soit un raccourci pour "crowdsourcer".

      • [^] # Re: Jeu de mots

        Posté par (page perso) . Évalué à 1.

        Tu peux la faire en anglais "Selks and the CTO"

        Et tu peux aussi faire une présentation sur la securisation de la distro :

        "practice safe selks".

  • # raspberry pi ?

    Posté par . Évalué à 0.

    Ça marche sur Raspberry pi? :)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.